Blast 生态发展迅猛，安全隐患仍需警惕

近期，Blast 作为新兴的公链项目备受市场关注。随着其"Big Bang"开发者竞赛的落幕，Blast 的锁仓量(TVL)呈现爆发式增长，一举突破 20 亿美元大关，在 Layer2 赛道上占据重要地位。

Blast 团队宣布将于 2 月 29 日启动主网，这一消息进一步引发了市场热议。不少参与者对潜在的空投机会抱有期待。然而，伴随生态系统的快速发展，各类项目层出不穷的同时，也带来了潜在的安全风险。本文将从技术角度深入分析 Blast 的安全隐患与发展机遇。

Blast 发展历程

Blast 于 2023 年 11 月 21 日正式上线，迅速引起加密社区的广泛关注。上线仅 48 小时内，其锁仓量就突破了 5.7 亿美元，并吸引了超过 5 万名用户参与。

去年，Blast 先后获得了多轮融资支持。其中包括来自知名投资机构的 2000 万美元融资，以及一家日本加密货币投资公司提供的 500 万美元投资。

截至 2 月 25 日，某数据平台显示，Blast 合约地址当前持有资产总价值已超过 20 亿美元。其中约 18 亿美元的 ETH 存入了某质押协议，超过 1.6 亿美元的 DAI 存入了另一个借贷协议。这一数据充分体现了 Blast 在市场上的火热程度。

Blast 的独特优势

Blast 的突出特点在于为 ETH 和稳定币提供原生收益率，这是其他 Layer2 解决方案所不具备的。当用户将 ETH 转移至其他 Layer2 时，通常只会将 ETH 锁定在智能合约中，并映射相应的 Layer2 ETH。而 Blast 则会将用户的 ETH 存入质押协议生息，同时引入新的生息稳定币 USDB（该稳定币通过购买美国国债获得收益）到 Blast 网络。

此外，作为某知名 NFT 交易平台团队推出的 Layer2 项目，Blast 天然具备流量优势。该团队此前曾向平台用户发放超过 2 亿美元的空投，已经积累了广泛的社区基础。结合当前 Blast 的空投激励计划，通过流量裂变的营销策略吸引用户参与质押。

Blast 面临的安全风险

尽管 Blast 发展迅速，但自推出以来也面临诸多质疑和批评。2023 年 11 月 23 日，某知名公链的开发者关系工程师指出，Blast 的中心化程度可能给用户带来严重的安全隐患。同时，他还质疑 Blast 将自身归类为第 2 层(L2)网络的合理性，认为其不符合 L2 的标准定义，缺乏交易、跨链桥、Rollup 或向以太坊发送交易数据等关键功能。

为深入了解 Blast 的安全性，我们对其 Deposit 合约代码进行了详细分析。主要发现以下风险点：

1. 中心化风险

Blast Deposit 合约中最关键的 enableTransition 函数仅允许合约管理员调用。该函数以 mainnetBridge 合约地址作为参数，而 mainnetBridge 合约可以访问所有质押的 ETH 和 DAI。

此外，Blast Deposit 合约可随时通过 upgradeTo 函数进行升级。虽然这主要用于修复潜在漏洞，但也存在被滥用的可能性。相比之下，某知名 Layer2 项目在合约升级方面采取了更为谨慎的做法，非紧急情况下修改合约通常需要 10 天的延迟期，且需要由多人组成的协议理事会决定。

2. 多签争议

经查，Blast Deposit 合约的权限由一个 3/5 多签钱包控制。这 5 个签名地址均为 3 个月前新建的账户，其身份信息未公开。由于整个合约实际上是通过多签钱包保护的托管合约，而非标准的 Rollup 跨链桥，因此引发了社区和开发者的质疑。

Blast 团队承认了这些安全风险的存在，并表示虽然不可变的智能合约通常被认为更安全，但它们可能隐藏未被发现的漏洞。而可升级的智能合约也带来了自身的风险，如合约升级和可能被利用的时间锁。为降低这些风险，Blast 表示将使用多种硬件钱包进行管理，以避免中心化风险。

然而，钱包管理是否能有效规避中心化和钓鱼攻击风险，是否有完善的管理流程，这些问题 Blast 团队尚未给出明确答复。值得注意的是，此前曾发生过多起因私钥管理不当而导致用户资产损失的安全事件，即便项目方采用了多签钱包或 MPC 钱包技术。

2 月 19 日，Blast 团队对 Deposit 合约进行了一次更新，主要添加了 Predeploys 合约并引入了 IERC20Permit 接口，为主网上线做准备。

Blast 生态面临的安全挑战

2 月 25 日，某反洗钱分析平台监测到 Blast 生态中的一个 GambleFi 项目疑似发生 RugPull 事件，造成约 500 枚 ETH 的损失。该项目的官方社交媒体账号目前已无法访问。

多位投资者公开分享了他们的损失经历。他们表示，最初将该项目视为一个有前景的投资机会，主要是因为看到了来自 Blast 生态系统内信誉良好的项目和合作伙伴的背书。然而，随后的公开募资环节变成了一轮无上限的融资，这引发了他们对项目的怀疑。

某链上分析工具显示，目前该 GambleFi 项目的被盗资金大部分已转移至不同的交易平台，少量资金已跨链至其他公链。

综上所述，尽管 Blast 展现出强劲的发展势头，但其面临的安全挑战不容忽视。投资者在参与相关项目时需保持警惕，全面评估潜在风险。